Prctica de laboratorio: Uso de Wireshark para examinar las

tramas de Ethernet
Topologa

Objetivos
Parte 1: Examinar los campos de encabezado de una trama de Ethernet II
Parte 2: Utilizar Wireshark para capturar y analizar tramas de Ethernet

Aspectos bsicos/situacin
Cuando los protocolos de capa superior se comunican entre s, los datos fluyen por las capas de
interconexin de sistemas abiertos (OSI) y se encapsulan en una trama de capa 2. La composicin de la
trama depende del tipo de acceso al medio. Por ejemplo, si los protocolos de capa superior son TCP e IP, y
el acceso a los medios es Ethernet, el encapsulamiento de tramas de capa 2 es Ethernet II. Esto es tpico
para un entorno LAN.
Al aprender sobre los conceptos de la capa 2, es til analizar la informacin del encabezado de la trama. En
la primera parte de esta prctica de laboratorio, revisar los campos que contiene una trama de Ethernet II.
En la parte 2, utilizar Wireshark para capturar y analizar campos de encabezado de tramas de Ethernet II de
trfico local y remoto.

Recursos necesarios
1 PC (Windows 7 u 8 con acceso a Internet y Wireshark instalado)

Parte 1: Examinar los campos de encabezado de una trama de Ethernet II

En la parte 1, examinar los campos de encabezado y el contenido de una trama de Ethernet II. Se utilizar
una captura de Wireshark para examinar el contenido de esos campos.

Paso 1: Revisar las descripciones y longitudes de los campos de encabezado de Ethernet II.

Direccin Direccin Tipo

Prembulo de destino de origen de trama Datos FCS

8 bytes 6 bytes 6 bytes 2 bytes 46 a 1500 bytes 4 bytes

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 1 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Paso 2: Examinar la configuracin de red de la PC.

La direccin IP de este equipo host es 192.168.1.17, y el gateway predeterminado tiene la direccin IP
192.168.1.1.

Paso 3: Examinar las tramas de Ethernet en una captura de Wireshark.

En la siguiente captura de Wireshark, se muestran los paquetes generados por un ping que se hace de un
equipo host a su gateway predeterminado. Se le aplic un filtro a Wireshark para ver solamente el protocolo
de resolucin de direcciones (ARP) y el protocolo de mensajes de control de Internet (ICMP). La sesin
comienza con una consulta ARP para obtener la direccin MAC del router del gateway seguida de cuatro
solicitudes y respuestas de ping.

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 2 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Paso 4: Examinar el contenido del encabezado de Ethernet II de una solicitud de ARP.

En la siguiente tabla, se toma la primera trama de la captura de Wireshark y se muestran los datos de los
campos de encabezado de Ethernet II.

Campo Valor Descripcin

Prembulo No se muestra en la Este campo contiene bits de sincronizacin, procesados por

captura. el hardware de la NIC.
Direccin de destino Broadcast Direcciones de capa 2 para la trama. Cada direccin tiene
(ff:ff:ff:ff:ff:ff) (Difusin una longitud de 48 bits, o 6 octetos, expresada como 12
[ff:ff:ff:ff:ff:ff]) dgitos hexadecimales (0-9, A-F).
Un formato comn es 12:34:56:78:9A:BC.
Direccin de origen GemtekTe_ea:63:8c
Los primeros seis nmeros hexadecimales indican el
(00:1a:73:ea:63:8c)
fabricante de la tarjeta de interfaz de red (NIC), y los ltimos
seis nmeros son el nmero de serie de la NIC.
La direccin de destino puede ser de difusin, que contiene
todos nmeros uno, o de unidifusin. La direccin de origen
siempre es de unidifusin.
Tipo de trama 0x0806 Para las tramas de Ethernet II, este campo contiene un
valor hexadecimal que se utiliza para indicar el tipo de
protocolo de capa superior del campo de datos. Ethernet II
admite varios protocolos de capa superior. Dos tipos
comunes de trama son los siguientes:
Valor Descripcin
0x0800 Protocolo IPv4
0x0806 Protocolo de resolucin de direcciones (ARP)
Datos ARP Contiene el protocolo de nivel superior encapsulado. El
campo de datos tiene entre 46 y 1500 bytes.
FCS No se muestra en la Secuencia de verificacin de trama, utilizada por la NIC para
captura. identificar errores durante la transmisin. El equipo emisor
calcula el valor abarcando las direcciones de trama, campo
de datos y tipo. El receptor lo verifica.

Qu caracterstica significativa tiene el contenido del campo de direccin de destino?

_______________________________________________________________________________________
_______________________________________________________________________________________
Por qu enva la PC un ARP de difusin antes de enviar la primera solicitud de ping?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Cul es la direccin MAC del origen en la primera trama? _______________________
Cul es el identificador de proveedor (OUI) de la NIC del origen? __________________________
Qu porcin de la direccin MAC corresponde al OUI?
_______________________________________________________________________________________
Cul es el nmero de serie de la NIC del origen? _________________________________

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 3 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Parte 2: Utilizar Wireshark para capturar y analizar tramas de Ethernet

En la parte 2, utilizar Wireshark para capturar tramas de Ethernet locales y remotas. Luego, examinar la
informacin que contienen los campos de encabezado de las tramas.

Paso 1: Determinar la direccin IP del gateway predeterminado de la PC.

Abra una ventana del smbolo del sistema y emita el comando ipconfig.
Cul es la direccin IP del gateway predeterminado de la PC? ________________________

Paso 2: Comenzar a capturar el trfico de la NIC de la PC.

a. Abra Wireshark.
b. En la barra de herramientas Network Analyzer (Analizador de red) de Wireshark, haga clic en el cono
Lista de interfaces.

c. En la ventana Capture Interfaces (Capturar interfaces) de Wireshark, haga clic en la casilla de

verificacin adecuada para seleccionar la interfaz en la cual comenzar la captura de trfico. A
continuacin, haga clic en Start (Iniciar). Si no est seguro de qu interfaz revisar, haga clic en Details
(Detalles) para obtener ms informacin sobre cada interfaz de la lista.

d. Observe el trfico que aparece en la ventana Packet List (Lista de paquetes).

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 4 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Paso 3: Filtrar Wireshark para que solamente se muestre el trfico ICMP.

Puede usar el filtro de Wireshark para bloquear la visibilidad del trfico no deseado. El filtro no bloquea la
captura de datos no deseados, sino lo que se muestra en pantalla. Por el momento, solo se debe visualizar el
trfico ICMP.
En el cuadro Filter (Filtro) de Wireshark, escriba icmp. Si escribi el filtro correctamente, el cuadro debe
volverse de color verde. Si el cuadro est de color verde, haga clic en Apply (Aplicar) para que se aplique el
filtro.

Paso 4: En la ventana del smbolo del sistema, hacer un ping al gateway predeterminado de la
PC.
En la ventana del smbolo del sistema, haga un ping al gateway predeterminado con la direccin IP
registrada en el paso 1.

Paso 5: Dejar de capturar el trfico de la NIC.

Haga clic en el cono Detener captura para dejar de capturar el trfico.

Paso 6: Examinar la primera solicitud de eco (ping) en Wireshark.

La ventana principal de Wireshark se divide en tres secciones: el panel Packet List en la parte superior, el
panel Packet Details (Detalles del paquete) en la parte central y el panel Packet Bytes (Bytes del paquete) en
la parte inferior. Si seleccion la interfaz correcta para la captura de paquetes en el paso 3, Wireshark
debera mostrar la informacin de ICMP en el panel Packet List (Lista de paquetes), de manera similar a la
del siguiente ejemplo.

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 5 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

a. En el panel Packet List (Lista de paquetes) de la parte superior, haga clic en la primera trama de la lista.
Debera ver el texto Echo (ping) request (Solicitud de eco [ping]) debajo del encabezado Info
(Informacin). Con esta accin, se debe resaltar la lnea con color azul.
b. Examine la primera lnea del panel Packet Details (Detalles del paquete) de la parte central. En esta
lnea, se muestra la longitud de la trama (en el ejemplo, 74 bytes).
c. En la segunda lnea del panel Packet Details (Detalles del paquete), se muestra que es una trama de
Ethernet II. Tambin se muestran las direcciones MAC de origen y de destino.
Cul es la direccin MAC de la NIC de la PC? ________________________
Cul es la direccin MAC del gateway predeterminado? ______________________
d. Puede hacer clic en el signo ms (+) al principio de la segunda lnea para obtener ms informacin sobre
la trama de Ethernet II. Observe que el signo ms se transforma en un signo menos (-).
Qu tipo de trama se muestra? ________________________________
e. En las ltimas dos lneas de la parte central, se proporciona informacin sobre el campo de datos de la
trama. Observe que los datos contienen informacin sobre las direcciones IPv4 de origen y de destino.
Cul es la direccin IP de origen? _________________________________
Cul es la direccin IP de destino? ______________________________
f. Puede hacer clic en cualquier lnea de la parte central para resaltar esa parte de la trama (hexadecimal y
ASCII) en el panel Packet Bytes de la parte inferior. Haga clic en la lnea Internet Control Message
Protocol (Protocolo de mensajes de control de Internet) de la parte central y examine lo que se resalta
en el panel Packet Bytes.

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 6 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Qu texto muestran los ltimos dos octetos resaltados? ______

g. Haga clic en la siguiente trama de la parte superior y examine una trama de respuesta de eco. Observe
que las direcciones MAC de origen y de destino se invirtieron porque esta trama se envi desde el router
del gateway predeterminado como respuesta al primer ping.
Qu dispositivo y qu direccin MAC se muestran como direccin de destino?
___________________________________________

Paso 7: Reiniciar la captura de paquetes en Wireshark.

Haga clic en el cono Iniciar captura para iniciar una nueva captura de Wireshark. Se muestra una ventana
emergente que le pregunta si desea guardar los anteriores paquetes capturados en un archivo antes de
iniciar la nueva captura. Haga clic en Continue without Saving (Continuar sin guardar).

Paso 8: En la ventana del smbolo del sistema, haga ping a www.cisco.com.

Paso 9: Dejar de capturar paquetes.

Paso 10: Examinar los nuevos datos del panel de la lista de paquetes de Wireshark.
En la primera trama de solicitud de eco (ping), cules son las direcciones MAC de origen y de destino?
Origen: _________________________________.
Destino: _________________________________.
Cules son las direcciones IP de origen y de destino que contiene el campo de datos de la trama?
Origen: _________________________________.
Destino: ______________________________.

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 7 de 8
Prctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Compare estas direcciones con las direcciones que recibi en el paso 6. La nica direccin que cambi es la
direccin IP de destino. Por qu cambi la direccin IP de destino mientras que la direccin MAC
permaneci igual?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

Reflexin
En Wireshark, no se muestra el campo de prembulo de un encabezado de trama. Qu contiene el
prembulo?
_______________________________________________________________________________________
_______________________________________________________________________________________

2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 8 de 8